FINANCIAL TIMES

الصحة للبيع .. مواقع تعبث ببيانات الناس الحساسة مع المعلنين

 الصحة للبيع .. مواقع تعبث ببيانات الناس الحساسة مع المعلنين

 الصحة للبيع .. مواقع تعبث ببيانات الناس الحساسة مع المعلنين

تتورط بعض المواقع الصحية الأكثر شهرة في بريطانيا بمشاركة بيانات حساسة للناس بما في ذلك الأعراض الطبية والتشخيصات وأسماء الأدوية ومعلومات الدورة الشهرية والخصوبة مع عشرات الشركات في جميع أنحاء العالم، بدءا من عمالقة استهداف الإعلانات من شاكلة شركات جوجل وأمازون وفيسبوك وأوراكل، إلى سماسرة بيانات أقل شهرة من شركات تكنولوجيا الإعلان.
باستخدام أدوات مفتوحة المصدر لتحليل 100 موقع إلكتروني للصحة، توصل تحقيق أجرته صحيفة فاينانشيال تايمز إلى أن 79 في المائة من المواقع أسقطت "ملفات تعريف الارتباط"، وهي أجزاء صغيرة من البرنامج حيث إنه عندما يتم تضمينها في متصفحك، فإنها تسمح لشركات الغير بتعقب الأفراد في أنحاء الإنترنت. تم ذلك دون الموافقة التي هي مطلب قانوني في بريطانيا.
كانت شركة دبل كليك ذراع الدعاية التابع لشركة جوجل هي الوجهة الأكثر شيوعا للبيانات، حيث تظهر على 78 في المائة من المواقع التي تم اختبارها تليها شركة أمازون التي كانت موجودة في 48 في المائة من الحالات، ثم شركتا فيسبوك ومايكروسوفت وشركة آبنيكسوس تكنولوجيا الإعلانات.
قال وولف كريستل، وهو باحث تقني يبحث في صناعة تكنولوجيا الإعلان: "هذه النتائج لافتة للنظر إلى حد كيير ومثيرة للقلق للغاية. من وجهة نظري، من الواضح أن هذا النوع من البيانات حساس، ولديه بنود حماية خاصة بموجب اللائحة العامة لحماية البيانات، فنقل هذه البيانات على الأرجح ينتهك القانون."

الصحة للبيع

منذ عدة قرون، يقسم الأطباء قسم أبقراط، للحفاظ على السرية "على كل ما أراه أو أسمعه في حياة مرضاي".
على أن مئات الملايين من الناس يتجهون الآن إلى شبكة الإنترنت كل يوم لتهدئة مخاوفهم الطبية التي تراوح بين الأمور العادية والخطيرة.
على الرغم من وهم الخصوصية الموجود بين المستخدمين وأجهزة الكمبيوتر، إلا أن الواقع مختلف تماما.
عند التعمق في عشرة مواقع، تم اختيارها لتعكس الأنواع المختلفة من المعلومات الصحية التي تقدمها للمستخدمين، نظرت "فاينانشيال تايمز" في أنواع البيانات التي كانوا يشاركونها.
استبعد التحقيق البيانات المرسلة إلى شركات التحليل لتحسين أداء موقع الشبكة، وتم منح الموافقة لملفات تعريف الارتباط على جميع مواقع الشبكة العنكبوتية التي طلبت ذلك. سياسات الخصوصية التي وافق عليها مراسلو الصحيفة لم تحدد بشكل كاف أن هذه البيانات الحساسة ستتم مشاركتها مع أطراف ثالثة أو لأي أغراض.
مشاركة البيانات شملت ما يلي:
• إرسال أسماء الأدوية التي أدخلت على موقع Drugs.com إلى وحدة إعلانات "دبل كليك" في شركة جوجل.
• مشاركة الأعراض التي تم إدخالها في موقع تدقيق الأعراض WebMD والتشخيصات المستلمة بما في ذلك "الجرعات الزائدة من الأدوية" مع شركة فيسبوك.
• انتهى المطاف بمعلومات الدورة الشهرية والإباضة من BabyCentre لدى شركة أمازون للتسويق من بين مواقع أخرى.
• مشاركة كلمات رئيسة مثل "مرض القلب" و"تفكر في الإجهاض" من مواقع مثل British Heart وHealthline لشركات مثل Scorecard وBlue Kai المملوكة لشركة أوراكل العملاقة للبرامج.
في ثماني حالات باستثناء هيلث لاين Healthline وMind تم أيضا إرسال معرف محدد مرتبط بمتصفح الشبكة، ما قد يسمح بربط المعلومات بالفرد وتم إسقاط ملفات تعريف الارتباط الخاصة بالتتبع قبل منح الموافقة. أكدت "هيلث لاين" أنها تشارك أيضا معرفات فريدة مع أطراف ثالثة.

"صوامع بيانات لغير المرغوبين"

منذ اعتماد اللائحة العامة لحماية البيانات على مستوى أوروبا في أيار (مايو) 2018، كانت صناعة الإعلان على الإنترنت في الاتحاد الأوروبي، تحقق مبيعات سنوية بقيمة 55 مليار دولار، خاضعة لقواعد أكثر صرامة حول جمع ومعالجة البيانات.
أصبح من غير القانوني الآن للمعلنين مشاركة البيانات الأكثر حساسية، بما في ذلك حول الصحة والتوجه، دون موافقة صريحة، حيث يوافق المستخدم على المشاركة المحددة لبيانات "الفئة الخاصة"، ويتم إطلاعه على كيفية استخدامها وعن أي طريق.
لم يطلب أي من مواقع الشبكة التي تم اختبارها هذا النوع من الموافقة الصريحة والمفصلة.
كانت الوجهات النهائية للبيانات الشخصية والحساسة التي تم جمعها ومشاركتها بواسطة مواقع الويب غير شفافة حيث لم تكن مرئية عبر متصفح الإنترنت.
تظهر الأبحاث في صناعة "وسيط البيانات" أن عشرات الشركات تستفيد من شراء وبيع البيانات لعدة عملاء، يرغبون في فهم المستخدمين بشكل أفضل.
يعتقد الخبراء أن النماذج التنبؤية التي صممها عدد كبير من شركات الإعلان، واستهداف البيانات قد تستخدم اعتلال الصحة لوضع ملفات تعريف المستخدمين والإثراء على حسابهم.
معرفة الأمراض الطبية للفرد تتيح للشركات محاولة بيع علاجات أو خدمات أو منتجات مالية محددة قد يلجأ إليها المستخدمون اليائسون.
قال تيم ليبرت، عالم الكمبيوتر في جامعة كارنيجي ميلون، الذي صمم أداة مفتوحة المصدر تستخدمها "فاينانشيال تايمز"، وهو مختص بالآثار الاجتماعية والقانونية لتتبع الإعلانات عبر الإنترنت: "هناك نظام بالكامل سيسعى إلى استغلالك لأنك في وضع ضعيف. في رأيي هذا بغيض أخلاقيا".
توصلت أبحاث ليبرت السابقة في تحليل 80 ألف صفحة فريدة تتعلق بالأمراض الشائعة، إلى أن أكثر من 91 في المائة منها اتصلت بأطراف ثالثة في الولايات المتحدة.
تشرح الورقة أن الاحتفاظ بهذه البيانات الحساسة حول شخص ما، يمكن أن يؤدي إلى التمييز في التسويق، حتى دون معرفة المسوقين لهوايتهم.
وكتب ليبرت: "بما أن النفقات الطبية تجعل كثيرين في وضع أقل ماديا للإنفاق على الكماليات، فقد يتم فصل هؤلاء المستخدمين في" صوامع بيانات "من غير المرغوب فيهم ويتم استبعادهم بعد ذلك من العروض والأسعار المواتية. هذا شكل من أشكال التمييز الخفي، لكنه حقيقي ضد الذين يعتقد أنهم مرضى".
في بريطانيا تمت مراقبة صناعة الإعلان عبر الإنترنت في حزيران (يونيو) الماضي من قبل الجهة المنظمة "مكتب مفوض المعلومات".
أعطى المكتب الصناعة مهلة حتى كانون الأول (ديسمبر) المقبل لتنظيف ممارسات البيانات المتعلقة بها، وإلا فإنها تواجه مزيدا من التحقيقات.
قال سايمون ماكدوجال، المدير التنفيذي لسياسة التكنولوجيا والابتكار في شركة آي سي أو ICO: "هذا التحقيق الذي أجرته الصحيفة يسلط مزيدا من الضوء على مخاوف الشركة بشأن معالجة بيانات الفئات الخاصة في الإعلانات عبر الإنترنت، فضلا عن الدور الذي يلعبه أصحاب المواقع والناشرون في هذا النظام البيئي".
وأضاف: "تتطلب بيانات الفئات الخاصة مثل المعلومات الصحية مزيدا من الحماية نظرا لحساسيتها وزيادة خطر الأذى أو التمييز ضد الأفراد. إن علينا تقييم المعلومات التي قدمتها الصحيفة قبل النظر في خطواتنا المقبلة."

دفاع المعلنين

قالت شركة جوجل، التي تحرك صناعة الإعلان على الإنترنت، إنها "لا تنشئ ملفات تعريف للإعلانات من البيانات الحساسة ولديها سياسات صارمة تمنع المعلنين من استخدام هذه البيانات لاستهداف الإعلانات".
وأخبرت صحيفة فاينانشيال تايمز أن المواقع المسماة التي تم التحقيق فيها تم تمييزها على أنها "حساسة" داخليا، ما يعني أن المعلومات التي وجدنا أنه يجري إرسالها إليها كانت مستبعدة على وجه التحديد من قاعدة البيانات المستخدمة للإعلانات المخصصة للأشخاص. وقالت إنه يمكن استخدام تقنياتها لعرض الإعلانات "السياقية"، بناء على محتويات الصفحة وليس على معلومات المستخدم.
أوضحت الشركة أنه إذا اختار الناشر تضمين معلومات مثل تاريخ الدورة الشهرية الأخيرة للزائرة في عنوان الموقع الإلكتروني، فيمكن إرسالها إلى "جوجل" كجزء من طلب إعلان من تلك الصفحة.
أنظمة إعلانات شركة جوجل لن تفهم ما تمثله بيانات العنوان الإلكتروني، ولن تستخدمها لإنشاء ملفات تعريف المستخدمين.
وقالت الشركة إنه يمكن استخدام البيانات الحساسة لعدة أسباب أخرى، بما في ذلك الحماية من الاحتيال وإساءة الاستخدام وقياس الانخراط مع الإعلان.
شركة فيسبوك، وهي متتبع متكرر آخر عبر المواقع التي قمنا باستطلاعها، تلقت أيضا بيانات عن أعراض وتشخيصات حساسة للغاية، لم تتمكن من تأكيد ما يفعله بهذه المعلومات. وقال متحدث باسم الشركة: "لا نريد لمواقع الشبكة أن تشارك المعلومات الشخصية عن صحة الأشخاص فهذا انتهاك لقواعدنا وننفذ القانون ضد المواقع التي نجدها تفعل ذلك. نحن نجري تحقيقا وسنتخذ إجراءات ضد تلك المواقع التي تنتهك شروطنا."

المنهجية

أجرينا تحليلنا في 29 آب (أغسطس) 2019، استنادا إلى قائمة بأفضل 100 موقع صحي تم تقديمها من قبل SimilarWeb على أساس متوسط حركة الزيارات الشهرية في بريطانيا حتى تموز (يوليو) 2019. بتشغيل هذه القائمة من خلال ويب إكس ري WebXray، وهي أداة مفتوحة المصدر تغزو كل موقع وتسجل جميع "الطلبات" اللاحقة المقدمة إلى أطراف ثالثة، وقد استخدمت أيضا مجموعة أدوات HTTP للنظر عن كثب في البيانات التي تم استلامها بشكل خاص من قبل أطراف ثالثة.
تجدر الإشارة إلى أن التحقيق الذي أجريناه لا يمثل سوى رؤية محدودة، على اعتبار أننا لم نتمكن من رؤية ما يحدث للبيانات خارج متصفح المستخدم، وأنها صورة لحظية في الزمن: إذا تم تكرار التجربة، حتى على جهاز الكمبيوتر نفسه في الموقع نفسه، فمن المرجح أن تختلف النتائج.
قالت شركة أمازون: "نحن لا نستخدم المعلومات من مواقع الناشرين لإبلاغ شرائح جمهور الإعلان"، لكنها لم تؤكد ما تفعله بالبيانات الحساسة التي تتلقاها مثل معلومات الخصوبة التي أدخلتها المستخدمة.
لم يكن من الواضح ما إذا كانت شركتا فيسبوك أو أمازون تلقتا أيضا معرفات شخصية، مثل عنوان مزود الإنترنت على الشبكة أو معرف فريد، إلى جانب البيانات الصحية.
وأكدت الشركات أيضا أن ناشري مواقع الشبكة مطالبون بإدارة موافقة المستخدم ونوع البيانات المرسلة إلى جهات خارجية.
قال ليبرت: "يبدو الأمر كأنه حانة تقول إننا لا نحب تقديم المشروبات للأشخاص الذين هم دون السن القانونية، لا ينبغي لهم القدوم إلى هنا للشرب. إنهم مهملون ولا ينتبهون، وهذا أمر مخادع للغاية".
في هذه الأثناء، لم يقدم ناشرو المواقع أنفسهم تفاصيل عن سبب مشاركة البيانات أو ما الذي سيتم بمجرد أن تخرج من أيديهم.
قال متحدث باسم شركة وب إم دي WebMD: "نستخدم أو نجمع أو نشارك فقط معلومات المستخدم بالقدر الذي تم الكشف عنه في سياسة الخصوصية الموجودة لدينا". لا يبدو أن السياسة التي تمت مراجعتها من قبل صحيفة فاينانشيال تايمز توفر إجابات واضحة حول مصير البيانات.
في نهاية هذه المقالة ننشر التعليقات الموجزة من الشركات الأخرى التي استجابت. الجهات الأخرى التي تم الاتصال بها، لم تستجب لطلب التعليق.
مع اقتراب الموعد النهائي الذي حددته شركة آي سي لشركات مزادات الإعلانات عبر الإنترنت لتدقيق حساباتها سيكون هذا ساعة الحساب بالنسبة لكثيرين في الصناعة الذين كانوا حتى وقت قريب يخضعون للتنظيم الذاتي.
قال ليبرت: "تحولت شبكة الإنترنت إلى أرض مشاع للخصوصية. لكن توجد ظاهرة الامتناع عن الانتقاد في صناعة الإعلان. تقول الشركات إنها تمتثل لقواعد حماية البيانات العامة من الاتحاد الأوروبي، وهناك تبعية مشتركة حيث يتظاهر الجميع بأن كل شيء على ما يرام، لكن البنية التقنية العميقة تتعارض بشكل أساس مع الحق في الخصوصية".
"في نهاية المطاف ستقرر "آي سي أو"، واستنادا إلى التوجيه المبكر أظن أنها قد لا تكون مشاركا راغبا في هذا العالم الخيالي الذي بناه المعلنون عبر الإنترنت."

استجابات الشركات

"بوبا": ملفات تعريف الارتباط الخاصة بالإعلانات تستخدم على موقعنا، لكننا وضعناها حيث لا يتم تمرير المعلومات الشخصية إلى أطراف ثالثة حول الزائرين إلى موقعنا بما في ذلك الزيارات إلى صفحات المعلومات الصحية لدينا.
"المعرفات الفريدة للهوية تتم مشاركتها مع أطراف ثالثة من أجل قياس أداء الموقع الإلكتروني وانخراط الناس معه. هذه معلومات مغفلة لا تظهر فيها أسماء الأشخاص ولا يمكن التعرف على أصحابها بشكل شخصي. لا تتم مشاركة أي معلومات صحية عن الزائرين إلى موقعنا مع أطراف ثالثة."
"بيبي سنتر": "بياناتنا حول الخصوصية والموافقة تشير بوضوح إلى أننا يمكن أن نستخدم البيانات بما في ذلك التاريخ المتوقع للولادة، من أجل تخصيص المحتوى والإعلانات للأشخاص. الموقع لا يمرر البيانات الشخصية إلى أطراف ثالثة إلا بعد الحصول على الموافقة.
اعتبارا من 19 آب (أغسطس) الموقع هو تحت مالكين جدد، وسينشر بموجب متطلبات قواعد حماية البيانات الأوروبية التي تلتزم بها شركة إيفرداي هيلث بشأن السياسات والممارسات الخاصة بالموافقة على خصوصية البيانات، التي تنسجم مع الممتلكات الرقمية في محفظتها."
مؤسسة القلب البريطانية: "البيانات التي تلتقطها ملفات البيانات لدينا على موقعنا هي محمية (البيانات تعطى على أساس أسماء مستعارة)، وبالتالي لا تعمل مباشرة على معرفة هويات الأفراد.
نحن لا نبيع البيانات ولا نشارك بيانات شخصية حساسة في مجالات مثل الأصل العرقي والصحة، ويمكن أن تؤدي مباشرة إلى معرفة هويات الأشخاص.
"من أجل تطبيق التغيرات الأخيرة في القواعد الإرشادية، نراجع الآن كيفية استخدامنا لملفات تعريف الارتباط، والطريقة التي نحصل بها على الموافقة لاستخدامها حين يزور الناس موقعنا. خلال الأشهر المقبلة سنطبق نسخة جديدة من نموذج ملفات تعريف الارتباط لدينا.
"نحن لا نشارك أو نبيع معلومات شخصية حساسة يمكن أن تؤدي مباشرة إلى معرفة هوية شخص معين. نحن فقط نشارك المعلومات حول الصفحات التي تزورها الأجهزة، مثل العنوان الإلكتروني للموقع على سبيل المثال".
"هيلث لاين": "من بين المنصات الثماني التي أشرتم إليها، خمس منها هي شركات لتزويد الخدمات ولا تستخدم من قبل موقعنا Healthline.com من أجل الإعلانات.
شركات فيبسوك وبينترست وتريد ديسك هي منصات يمكن أن نستخدمها من أجل إعادة التسويق. البيانات الممرة إلى إلى هذه المنصات هي لاستخدامنا نحن فقط وخاضعة لاتفاقيات حماية البيانات".
"مايند": "منذ أن نشر مفوض المعلومات توجيهات محدثة حول ملفات تعريف الارتباط في تموز (يوليو) الماضي، نراجع أسلوب عملنا بما في ذلك عمليات تدقيق للمتابعة عبر موقعنا.
نتيجة لتقرير نشرته منظمة الخصوصية الدولية في أيلول (سبتمبر) الماضي أزلنا متتبعات التسويق من على موقعنا ولن نعيد تثبيتها إلا بعد أن ننتهي من مراجعتنا ونشعر بالرضا من أننا نستخدمها على الوجه السليم.
"لا تتم مشاركة أي بيانات بشكل صريح مع موقع دبل كليك التابع لشركة جوجل من حلال موقع Mind.org.uk، لكن شركة جوجل تضع ملفات التعريف الخاصة بها على موقع DoubleClick من خلال منتجات أخرى لشركة جوجل من أجل مساندة التطوير والاستخدام الأمثل.
"لم نبع قط أو نشارك مع أي منظمات لأي من المعلومات الشخصية الخاصة بمستخدمي موقعنا، ولن نبيع أو نشارك أبدا أي معلومات مع هذه المنظمات التي يمكن الاتصال بها من أجل أي نشاطات تسويقية. كما أننا لا نبيع أي معلومات حول نشاط التصفح على الإنترنت من قبل مستخدمي موقعنا".
"أوراكل": "بخصوص بلو كاي BlueKai، أي موقع يستخدم ملفات التعريف من BlueKai ملزم بجمع البيانات بما ينسجم مع المتطلبات القانونية سارية المفعول. إضافة إلى ذلك سحابة بيانات شركة أوراكل تطبق عمليات يقصد منها الحؤول دون إدخال بيانات الأطراف الثالثة، المأخوذة من مستخدمين مقيمين في الاتحاد الأوروبي للمواقع التي أشرتهم إليها.
أخيرا سحابة بيانات شركة أوراكل لا تنشئ أو تعرض أي مجموعات فرعية حساسة من الأطراف الثالثة بشأن المستهلكين في الاتحاد الأوروبي".

إنشرها

أضف تعليق

المزيد من FINANCIAL TIMES